pcapr.net : pour explorer des paquets réseau

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 18/03/09
  • Correction mineure : 24/11/12
Mots-clés

pcapr.net : pour explorer des paquets réseau

pcapr.net est un service qui permet d'explorer des paquets réseau. Il est décrit sur le site http://www.bortzmeyer.org/pcapr.html

Ci-dessous, un extrait de ce site

Examiner en détail, au niveau des champs qui le composent et même des bits sous-jacents, des paquets capturés sur le réseau est une occupation essentielle pour l'étudiant en réseaux informatiques, pour le programmeur réseau, pour l'administrateur réseaux... et pour celui qui s'intéresse à la sécurité des réseaux. Des outils pour programmeur comme Scapy ou des outils graphiques très riches comme Wireshark permettent de rendre cette tâche bien plus efficace, pour les paquets qu'on a capturé soi-même. Mais il peut être instructif d'explorer les paquets capturés sur des réseaux différents du sien, par exemple pour apprendre des protocoles dont on n'a pas de mise en oeuvre disponible. C'est l'un des buts de pcapr (http://www.pcapr.net), le Flickr des paquets.
Le principe est simple : vous vous enregistrez (gratuit mais obligatoire) et vous pouvez ensuite envoyer vos propres traces et/ou regarder celles envoyées par les autres membres. Du fait de l'inscription obligatoire, certains liens dans cet article ne seront pas accessibles tant que vous n'aurez pas un compte pcapr (actuellement, un visiteur anonyme peut avoir une idée des paquets mais pas les examiner en détail).
Vous pouvez chercher une trace (un ensemble de paquets) par date (http://www.pcapr.net/browse) ou par mot-clé (des étiquettes - "tags" -, comme dans del.icio.us). Si je m'intéresse à BGP et que le RFC 4271 ne me suffit pas, je peux chercher http://www.pcapr.net/browse?proto=bgp. Si je préfère LDAP, j'ai http://www.pcapr.net/browse?proto=ldap.
Une fois la trace trouvée, je peux regarder les paquets, voir leur représentation binaire, ou bien voir une dissection des paquets (apparemment faite par tshark).
Cela permet déjà d'innombrables possibilités. On ne peut pas déployer tous les protocoles chez soi pour les essayer mais pcapr (http://www.pcapr.net/) permet d'accéder à des tas de protocoles différents. On peut aussi télécharger les traces chez soi au format Pcap pour les étudier plus à loisir, par exemple avec ses propres programmes en C (http://www.bortzmeyer.org/libpcap-c.html) ou en Python (http://www.bortzmeyer.org/libpcap-python.html).
Mais pcapr a une autre possibilité : on peut modifier les paquets, via l'interface Web et copier ensuite la version modifiée (une sorte de Scapy sur le Web).
Terminons sur un avertissement : les traces Pcap peuvent contenir des informations confidentielles. Par exemple, les adresses IP permettent de retrouver une personne, celle qui utilisait cette adresse et sont donc considérées à juste titre par la CNIL comme des données personnelles (http://www.cnil.fr/index.php?id=2244), relevant de la loi Informatique & Libertés. Pcapr étant situé aux États-Unis, qui n'ont pratiquement aucune protection légale de la vie privée, il faut donc n'envoyer que des traces :

  • anonymisées, par exemple par un programme qui a remplacé chaque adresse IP par une valeur prise dans 192.0.2.0/24 ou 2001:DB8::/32, voire l'a supprimée totalement (option -h de dnscap (https://www.dns-oarc.net/tools/dnscap) si on l'a utilisé pour la capture). Attention, avec les autres informations, il est parfois possible de retrouver quand même les identificateurs (http://www.schneier.com/blog/archives/2007/12/anon...) qui avaient été anonymisés.
  • ou des traces ne montrant que des adresses IP « à vous », locales à votre réseau. (Ou encore, ce qui est fréquent lors des attaques, des adresses IP que l'on sait usurpées, et qui sont bien indiquées comme telles dans les commentaires de la trace. Voir par exemple http://www.pcapr.net/view/bortzmeyer+pcapr/2009/0/....)